CISO 聚焦 | 深度解密:微软自身的零信任之路
前言
“零信任”不是一个新概念,甚至应该算是一个“过时”的概念。从Forrester在2010年11月首次提出“零信任网络架构(Zero Trust Network Architecture)”这个概念开始已经超过12年了,而零信任所依赖的安全技术出现甚至早于零信任这个概念提出之前,如微软最早的零信任相关技术应用是在2002年 – 距今已经超过了20年。虽然零信任是应对现代化安全威胁攻击的下一代安全架构,但总体而言,由于各方面的原因,零信任解决方案在企业网络环境中的实际适配和落地却并不尽如人意,甚至在国内零信任解决方案有时已经变成了“下一代VPN”的代名词,目前大部分企业仍然是继续采用传统的安全架构,零信任之路可能还会走很久。
微软是全球网络安全业务营收最大的企业,是全球网络安全行业的领导者,也是零信任方案的世界级领导者,除了我们自身已经实现了零信任阶段性实施之外,全球使用微软零信任解决方案的企业中的用户数量在2020年已超过2亿。同样的,作为一家企业,我们自身也是微软零信任解决方案的重要用户,甚至是“第0个用户”,或者说最好的用户。微软拥有庞大而复杂的全球企业网络环境,那么微软自身是如何实现零信任呢?这也是很多朋友非常关心的话题。在本期文章中,我就微软自身的零信任之路和大家做一个概要性的分享,包含对我们自身零信任之路的需求场景、项目范围、发展过程和关注重心的相关介绍,希望可以给大家在自己的企业中后续实施零信任解决方案时带来更好的启发。相信通过“微软零信任之路”的案例分享,可以让大家自己的零信任之路走的更加地顺畅和高效。
微软并不是一家创立于互联网时代的公司,而是类似于一家典型的传统商业企业组织。自1975年4月4日创立以来,微软逐步成长为全球领先的IT企业。同样的,微软的全球企业网络环境规模也是全球领先甚至独一无二的。大家可以参考以下统计数据,管中窥豹,从中就可以了解微软全球企业网络环境的庞大和复杂。同时我也为微软安全的同事们感到自豪,在如此复杂的全球企业网络环境中能够做好安全,还有什么客户网络环境的网络安全是微软做不好的呢?
同时微软类似于一家典型的传统商业企业,很多企业需求和应用场景与绝大部分其他企业都是类似的。微软的很多产品都是为企业服务的,企业客户要求微软产品满足各种功能性能要求,并且安全可靠。作为一家企业,微软自身其实对于微软产品也具有相同的要求。因此微软IT是微软企业级产品的“第0个用户”,也是最好的用户。微软IT从微软产品的研发阶段就深度参与相关产品的规划设计、讨论和反馈,并在产品的内部测试阶段就加入到相关产品的测试和验证中,及时反馈关键信息给产品组进行优化和改进,并确保最终的产品能够完美的支持企业客户在生产环境中部署使用,这个过程有个专用的名词 - “Dogfooding”。
我们在数字化转型方面的需求是显而易见的,全球疫情大流行给每个企业组织都带来了挑战,从业务到员工,从供应链管理再到客户交付。我们重新思考传统的 IT 和业务运营,并为全球超过22万名员工推动创新和生产力。我们推动数字化转型的目标是提高我们赋能员工、支持客户和合作伙伴、产品转型和优化运营的能力,同时数字化转型使我们变得更加敏捷、高效和创新。这意味着改变我们的系统和流程,以支持并快速适应新产品、服务、商业模式、法律法规以及我们遇到的任何其他情况。
我们需要通过IT转型来支撑数字化转型。例如由于全球疫情的大流行,我们在数字化转型中所面对的一个强烈需求就是员工远程办公。从业务和IT战略层面我们认为未来员工是远程办公的,或者“员工工作在云端”,大部分甚至所有的用户访问可能都是从Internet发起的,那从IT技术层面如何能够满足微软超过22万员工的需求?同样的,我们需要通过相应的网络安全转型来确保实现IT转型和数字化转型。作为数字化转型和IT转型的基础,网络安全是技术成功的关键推动因素,也是企业组织发展所不可缺少的。我们必须考虑业务、IT和网络安全在数字化转型中的关联一致性,只有通过引入合理充分的网络安全措施,使企业组织尽可能地抵御现代化的攻击,才能支撑企业组织实现业务创新、提高生产力并最终实现数字化转型。
安全转型是微软数字化转型中的重要组成部分。网络安全无缝集成到数字化转型的所有模块中,并成为我们每个产品的重要组成部分。网络安全是一个持续的旅程,也是一个动态发展、持续提高的过程。网络安全的需求来源于其他IT技术(例如云计算、移动互联、物联网等等)的需求和场景,因此也需要关联到其他IT技术、并在其他IT技术方面进行相同水平的创新和改进。基于云的基础设施架构和无处不在的用户访问,促使我们需要新的企业安全战略,而微软的新安全战略是拥抱零信任,以身份凭据作为新的核心安全边界,并覆盖我们整体的企业网络环境。我们的网络安全战略基于六个核心安全支柱:身份及访问管理、设备安全性、数据保护、数据遥测和安全可见性、风险管理和安全保障。我们在安全转型中正在投资的一些具体技术领域包括:
基于零信任模型,通过强制要求多因素身份验证、设备安全性和最小特权访问来保护我们的基础架构,并通过持续动态评估的数据遥测和安全可见性来验证安全控制的有效性;
通过高强度的多因素身份验证来消除传统密码的使用;
通过Microsoft Defender for Office 365中的强大的安全防护功能来阻止邮件相关的攻击威胁;
通过安全检测与响应的自动化和编排,使我们的安全运营中心更加高效和有效。
无论是微软的数字化转型还是安全转型,都是值得用一本书去大写特写的经典案例。在此仅针对微软自身的零信任之路和大家做一个概要性的分享,希望可以给大家在自己的企业中后续实施零信任解决方案时带来更好的启发,并让大家自己的零信任之路走的更加地顺畅和高效。
微软是“零信任”的先驱,更是“零信任”的世界级领导者。微软的零信任之路甚至始于“零信任”这个概念提出之前。在2002年时,微软已经在全球企业网络内部启用了端到端IPSec安全防护技术,确保全球企业内部网络端到端通信都是基于活动目录的统一策略管控、微隔离、强制要求身份验证和传输加密。其后,微软通过网络访问保护(NAP)、DirectAccess(2009年7月随同Windows 7/Windows Server 2008 R2集成发布的DirectAccess 是当时非常领先的技术,它可以实现基于用户、设备和应用的多维度状态验证和访问控制,以及实现来自任何位置的任意应用访问,已经是一个成型的零信任解决方案甚至类似于目前流行的SASE,即安全访问服务边缘,可惜太过于超前当时的客户和市场需求...)、Forefront产品套件、Dynamic Access Control等数代安全产品和技术的演进,于2016年最终成型并发布了目前的以Azure AD和Microsoft Intune为核心的最新零信任解决方案,并持续的改进和优化。
微软的零信任解决方案是以身份验证凭据为核心、集成针对多重资源/资源组的安全状态评估和访问控制的解决方案,是NIST 于2020年8月发布的零信任架构规范(NIST SP 800-207 Zero Trust Architecture)中所推崇的第一种零信任解决方案类型。目前使用微软零信任解决方案的企业中的用户数量在2020年已经超过2亿,并在持续高速增长中。
零信任(零信任模型,或者零信任架构)其实并不复杂,可以用一句话来说明:必须通过多维度验证之后,才会允许最小特权访问。这句话里面其实包含了零信任的三个核心原则:
01
从不默认信任,假定被攻击;
02
要求先显式多维度验证确认(例如要求用户的多因素身份验证、检查设备安全性等等),再允许访问;
03
仅允许对于明确授权资源的最小特权访问。
零信任消除了传统企业网络内部假定的固有默认信任,要求在具体访问发生之前验证并证明对象控制元素(例如用户身份、设备、网络和应用程序等等)之间的端到端访问的每个环节都是可信安全的(端到端安全)。在理想的零信任环境中,应具有以下安全控制措施:
用户身份在任何地方都通过多因素身份验证 (MFA) 进行验证和保护。使用多因素身份验证可大幅提高用户身份凭据的安全性,并且通过使用生物识别的多因素身份验证能够解决密码复杂度和过期的影响,并最终消除密码。
设备健康和安全性。每一个联网访问的设备,都需要被管理和验证安全性。所有的设备类型和操作系统在允许访问网络资源之前,都必须满足相关的设备健康和安全性要求。
遥测无处不在,并确保安全可见性。持续动态评估的遥测数据用于了解当前安全状态、识别安全监控覆盖范围差距、验证新安全控制措施的影响,以及关联环境中所有应用程序和服务中的数据,确保实现安全可见性。标准化并可靠的审计、监控、数据遥测和安全可见性能力是实现零信任的核心基础要求。
强制实施最小特权访问。将用户的访问权限限制为仅执行职能所必需的应用程序、系统服务、基础结构和数据。
从零信任实施项目的实际执行出发,我们必须明确能够支撑项目并确保项目实施成功的核心需求场景。为了支持在微软企业环境内部实现零信任,我们识别出了以下四个帮助微软实现零信任的项目核心需求场景:
场景1 身份验证与访问控制:应用系统和服务具有验证多因素身份验证和设备安全性的机制,并结合身份验证和访问控制措施实现零信任访问控制。
场景2 设备安全性验证:员工可以将设备注册到现代化的端点设备管理系统中,该系统能够确保设备的健康状态和安全性,以控制对公司资源的访问。
场景3 备用访问方案:员工和外部来宾在不使用公司的托管设备时,有额外访问公司资源的备用方案。
场景4 最小特权访问:用户对资源的访问仅限于执行指定功能所需的最小特权。
微软目前已经实现了零信任的阶段性部署实施,并在持续的进行评估和优化。微软自身的零信任之路具有清晰的战略和战术,涉及到多个技术领域、内部不同组织和团队、和持续多年的投入。下图是微软零信任战略目标的核心阶段划分和关键场景需求,这并非微软零信任之路的全貌,但包含了其中的最重要的工作计划和任务。
项目范围
我们实施零信任的初始范围侧重于整个企业(包含我们的员工、合作伙伴和供应商)使用的常见企业服务,刚开始时我们的零信任实施针对的是微软员工在不同端点设备系统(包含Windows、iOS、Android、MacOS和Linux等)上日常使用的核心应用程序集(例如Microsoft Office应用程序、企业业务应用等)。随着我们项目的不断推进,我们的项目范围已扩展到包括在微软企业环境中使用的所有应用程序。任何公司拥有的设备或个人BYOD设备如果需要访问公司资源,都必须通过我们的设备管理系统Microsoft Intune进行管理,并进行相应的设备健康和安全性状态持续动态检测。
验证身份验证与凭据
我们内部多因素身份验证的部署是分阶段进行的。最初的时候,只是将针对服务器的管理访问要求通过智能卡来实现多因素身份验证。然后我们将多因素身份验证的强制要求扩展到所有从公司网络外部进行访问的用户。由于连接到公司网络的端点设备激增,因此采用的多因素身份验证方式也进行了进化,从最初的智能卡多因素身份验证进化为基于电话的多因素身份验证,并进一步使用 Microsoft Authenticator 手机App来提高用户体验。
同时,我们通过Windows系统内置的Windows Hello for Business 来进一步提高用户体验。虽然Windows Hello for Business 尚未完全消除传统的密码验证方式,但是它已经显著的减少了传统密码的使用场景和次数,这使我们移除了传统的密码过期策略,即目前微软用户的传统用户密码不会过期。这听起来可能会很震撼,因为在各种安全最佳实践中,均对用户密码的复杂度、长度和有效期等具有各种严格的要求。通过我们整体环境中对于多因素身份验证的强制要求,因此并不会降低用户身份验证和凭据的安全性。目前无论是位于微软公司网络内部还是外部,当访问微软公司网络资源时,所有账户(包含来宾账户)都需要进行多因素身份验证。
验证设备健康与安全性
我们进行设备验证的第一步是要求设备注册到现代化的设备管理系统(Microsoft Intune)中,并且我们已经完成了不同端点设备系统(包含Windows、iOS、Android、MacOS和Linux等)的管理部署。此外,我们通过Microsoft Intune来实现适当的设备健康和安全性状态验证,这是一个基础组件,允许我们为访问微软公司资源的设备设置和强制实施设备健康和安全性状态持续动态验证策略。当用户使用频度较高的应用程序和服务(如 Microsoft 365、VPN和内部企业应用)时,我们会强制要求验证用户访问设备的健康和安全性状态。在交付办公电脑设备给员工时,我们通过 Windows Autopilot来实现设备的自动预配置,这样可以确保交付给员工的所有新 Windows 设备都已自动注册到我们的现代化设备管理系统Microsoft Intune中。
访问公司无线网络的设备,即便是员工个人拥有的BYOD设备,也必须在设备管理系统中注册。如果员工想要使用其个人设备访问微软公司资源,则必须注册这些设备并遵守管理公司拥有的设备的相同设备健康和安全性状态持续动态验证策略。对于无法在设备管理中注册的设备,员工可以通过Microsoft IT提供的Azure Virtual Desktop来进行访问。Azure Virtual Desktop为员工提供符合微软管理和安全策略要求的虚拟桌面服务,从而允许使用非托管设备的员工安全地访问特定的公司网络资源。此外,结合多因素身份验证,用户也可以通过浏览器访问特定功能、受限的Microsoft 365 应用程序。
我们已经覆盖全部端点设备,并扩大强制要求设备健康和安全性状态验证的应用程序数量,以最终包括所有应用系统和服务。同时,我们还扩大了Azure Virtual Desktop的虚拟桌面服务资源数量,以更好的满足员工的使用需求。最后,我们持续的对设备健康和安全性状态持续动态验证策略进行评估和优化,使其更加安全可靠,并覆盖更多的应用系统和服务。
验证访问行为
我们认为未来员工是远程办公的,或者“员工工作在云端”,大部分甚至所有的用户访问可能都是从Internet发起的。在验证访问行为方面,我们的工作重点是基于角色和职能来实现网络的分区和微隔离,迁移所有微软员工以使用 Internet 作为默认网络,并基于自动检测机制来自动将用户和端点设备路由到适当的微隔离网段。因此已经为用户和端点设备成功部署了多个微隔离分区,包含创立了覆盖所有微软办公场所的、直接连接到Internet的新无线网络部署,所有的用户都接收到了新网络配置的更新,从而将Internet作为新的默认网络连接。对于在微软内部所使用的各种IoT设备,我们也为其创建了专用的网络分区并实现微隔离。
作为新无线网络部署的一部分,我们还部署了一个设备注册门户。此门户允许用户自行完成设备的识别、注册或修改,以确保用户的端点设备连接到适当的网段。同时通过此门户,用户可以自行注册用户设备、来宾设备和 IoT 设备。
验证服务
在全球疫情大流行期间,我们很大一部分用户群体已过渡到在家工作,这种转变增加了远程网络连接的使用。在这种环境下,Internet-first战略变得更为重要,我们也逐步尽可能的让所有的应用系统和服务在未来无需VPN即可直接通过Internet进行访问。
在验证服务方面,我们的工作重点是通过基于条件的访问控制(Conditional access)实现针对应用和数据的多维度访问控制。对于传统的应用系统而言,可能需要进行现代化改造,才能使其支持完整的基于条件的访问控制,或者通过Azure AD Application Proxy方式来实现满足基于条件的访问控制要求的代理访问(如项目核心需求场景1)。这样带来的一个额外好处就是消除了VPN的使用。
虽然我们目前已经有超过94%的企业业务应用(LOB)系统位于云端(Azure 或 SaaS),但是还有极少量特定业务应用位于企业内部网络。当用户位于企业外部网络例如Internet时,可以通过Microsoft IT提供的Azure Virtual Desktop虚拟桌面服务或通过VPN连接到企业内部网络来进行访问。为了提高用户体验,对于所有的用户,我们自动启用了VPN连接,并会根据用户的访问目标来自动选择路由,仅访问公司网络中的特定网络资源时才会通过VPN链路进行,默认均通过Internet直接进行访问。我们的终极目标是迁移所有的企业业务应用到云端,从而为用户从Internet访问公司网络资源时提供无缝的访问体验,并完全消除VPN的使用。
下图是微软自身实现零信任的体系架构的一个简化版本。在这个简化版本的零信任架构体系中,三个核心的基础组件是实现用户和设备身份和访问控制的Azure AD、Azure AD Conditional Access策略,以及实现设备管理和安全策略配置的 Microsoft Intune。微软Azure AD是全球身份验证与访问控制解决方案的行业领导者,在全球企业客户中广泛使用,拥有接近百万的企业客户数量。
在这三个核心基础组件实现安全集成管控的基础上,再与其他的核心安全控制能力,例如针对用户身份凭据的安全防护Azure AD Identity protection/Microsoft Defender for Identity、针对端点设备的安全防护Microsoft Defender for Endpoint和针对应用访问的安全防护Microsoft Defender for Cloud Apps 等实现集成,从而实现更为完善和强大的零信任访问控制能力。完整的微软零信任架构参考架构请参考下图:
微软是“零信任”的先驱,更是“零信任”的世界级领导者。基于微软自身的相关经验,微软在2019年首次提出了“零信任成熟度模型”,其中根据针对零信任8个核心组件的能力评估,把零信任成熟度分别划分为初始、高级和最优三个成熟度阶段,如下图所示,更为详细的信息,请参考微软零信任白皮书:
🔗 https://aka.ms/ztwhitepaper
除此之外,为了更好的帮助企业评估自身的零信任成熟度状态、明确零信任相关功能要求、规划零信任发展路线、并最终适配和落地零信任解决方案,微软推出了企业零信任评估工具,如下图所示。通过这个评估工具,企业可以通过对当前安全能力的相关调研评估,获得未来切实可行的零信任功能需求和发展路线,是企业适配和落地零信任解决方案的重要助力和参考,如果大家对于零信任有兴趣,都可以去自行评估一下。该企业零信任评估工具的访问地址是:
🔗https://aka.ms/zerotrustassessment
关于微软零信任解决方案的更多信息,敬请访问:
Microsoft Zero Trust Model
🔗 https://aka.ms/zerotrust
Zero Trust implementation guidance
🔗 https://learn.microsoft.com/en-us/security/zero-trust/zero-trust-overview
以上是微软自身如何实现零信任的概要故事,希望能够给您带来以下两个启发:
01
微软的零信任之路,是绝大部分其他企业都可以借鉴的。其中的需求场景、项目范围、发展阶段和关注重心,都是其他企业在后续部署零信任解决方案时可以参考和借鉴的。相信通过“微软零信任之路”的故事,可以让大家的零信任之路走的更加地顺畅和高效。
02
微软具有全球领先甚至独一无二的企业网络环境。在这种环境下,微软的零信任解决方案都可以很好的适配和应用,并实现有效的安全防护,那么在其他的企业客户环境中,微软的零信任解决方案也具有充分的信心和能力进行适配和应用,并帮助企业通过零信任解决方案实现现代化的安全防护,助力安全转型并最终推动企业的数字化转型。
但是,这世界上没有两只鸟是完全相同的,零信任部署也是。企业的具体需求不同、现有的安全控制措施/策略不同、安全能力不同、当前安全发展阶段不同,均会影响到零信任的部署实施。因此零信任解决方案需要充分的结合企业的实际状态和需求进行适配和落地,才能真正发挥零信任的实际功效和作用。
本质上来看,网络安全是制衡的艺术。没有绝对的网络安全,也没有永远的网络安全。网络安全无论攻防两端,都是一个动态发展、持续提高的过程,“防得了一时,防不了一世”。同样的,零信任也不是万能药,它是一个持续进化的旅程,而不是一个结果。
“万物皆可零信任”。大家潜意识的是把“零信任”看成一种技术解决方案,但是“零信任”实际上并不仅仅是一个安全防护技术解决方案,或者一个安全架构。本质上来看,“零信任”是一种通用原则、一种思维意识、以及管理风险的一种方法,我们可以在很多的场景中参考并应用“零信任”原则。在实施得当的情况下,“零信任”可以帮助企业在释放现代化技术潜力的同时,避免、限制和抵御潜在的安全威胁。
空谈无用,再好的战略,也要看具体执行,网络安全亦是如此。即便我们有非常完善的安全架构、规范和最佳实践,也知道网络安全很复杂、很麻烦、影响很大,但是毕竟需要落到实处才行。“罗马不是一天建成的”,网络安全也是。企业的相关管理人员需要“着眼大局、明确优先级、从小范围开始、快速行动”。我们必须充分考虑业务、IT和网络安全在数字化转型中的关联一致性,只有通过引入合理充分的网络安全措施,使企业组织尽可能地抵御现代化的攻击,才能支撑企业组织实现业务创新、提高生产力并最终实现数字化转型。关于企业网络安全战略和安全转型的更多建议,请参考之前的 CISO 聚焦系列文章。
张美波
微软(中国)有限公司网络安全
总监兼任网络安全首席架构师
张美波先生现任微软(中国)有限公司网络安全总监,并兼任网络安全首席架构师。他以“展现微软安全价值,守护企业客户安全”为己任,带领微软网络安全团队主要负责微软企业客户的网络安全技术与服务支持,推动微软网络安全产品和技术在中国的高速增长与应用。他曾是微软全球企业服务体系级别最高的技术专家之一,在多个具有全球排名前列的 Top 超大规模环境企业客户担任微软方的基础架构/网络安全架构师和“红军/蓝军”顾问,负责相关的安全架构体系规划设计与部署实施、 APT 攻击相关防范、安全运营及安全响应等。
# CISO 聚焦系列文章
点击即可阅读
1、CISO 聚焦 | 如何抵御超过98%的网络安全攻击行为
2、CISO 聚焦 | 如何构建企业组织的网络安全韧性和数字连续性